DBatLoader Malware Analizi

Dosya Ozellikleri

SHA256: eb0786d23a2ada26a937a41d56a96514a3df0027ff857d0407d462adfba18ddb

MD5: d63c7600ca42fe65af91ae662ef7b637

Dosya Tipi: rtf

Boyut: 80,522 byte

Ilk Gorulme: 2024-09-22

AV Imzasi: DBatLoader

Raporlayan: abuse_ch

Etiketler: CVE-2017-11882, DBatLoader, rtf

Statik analiz: metadata tabanli (ornek indirilmedi)

DBatLoader — Malware Profili

DBatLoader/ModiLoader. PaymentXAdvice ZIP lure. Brazilian Portuguese targeting. pt-BR locale.

Malware Tipi
Loader
Programlama Dili
Delphi
C2 Protokolü
HTTP
Hedef Sistemler
Windows
Diğer Adlar (AKA)
ModiLoader

Teknik Detaylar

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Yetenekler ve Davranış

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC Listesi (1 gösterge)

IOC — DBatLoader
# FILEPATH eb0786d23a2ada26a937a41d56a96514a3df0027ff857d0407d462adfba18ddb
TürDeğerNot
filepath eb0786d23a2ada26a937a41d56a96514a3df0027ff857d0407d462adfba18ddb PDB

C2 Sunucuları (Bu aile için 3 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
176.32.34.88 ip 80 HTTP active UA
194.33.45.78 ip 443 HTTPS inactive CZ
85.195.206.19 ip 80 HTTP inactive AT

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
CVE-2017-11882DBatLoaderrtf